Perché Google sta chiedendo di reinserire la password sugli smartphone?

Google richiede il cambio della password degli accountIn queste ore Google sta chiedendo ai suoi utenti di autenticarsi nuovamente reinserendo la password dell’account Google o Gmail, sui cellulari come Android e iPhone. La ragione della richiesta da parte di Google di inserire la password potrebbe essere il leak subito da CloudFlare, che ha potenzialmente coinvolto due milioni di siti web sulla rete Cloudflare. Come riportato dal report di CloudFlare in seguito alla segnalazione dei ricercatori del team Google’s Project Zero che hanno definito il bug “Cloudbleed” i reverse proxy di CloudFlare hanno fino a ieri pubblicato involontariamente porzioni di memoria contenenti potenzialmente informazioni riservate oltre a dati di autenticazione delle sessioni degli utenti.

Il “baco” ha colpito oltre due milioni di siti, in parte elencati a questo link, che fanno uso di Cloudflare per proteggersi dagli attacchi e che, in questo caso, ne sono diventati vulnerabili. Ovviamente la maggioranza dei siti non contengono informazioni sugli utenti o token di autenticazione, ma tra quelli coinvolti ce ne sono alcuni che raccolgono dati personali o supportano l’autenticazione tramite token di autenticazione (si pensi ad Authy, ad esempio) che possono quindi permettere a un attaccante di acquisire sessioni attive (non la password) e utilizzarle per intromettersi negli account delle vittime

Non è necessario – anche se è sempre buona pratica – cambiare la propria password, come specifica anche Cloudflare, l’importante è reinserirla resettando i token di autenticazione attivi con siti e servizi coinvolti nel leak.

Ovviamente, questa enorme quantità di richieste di inserimento password arrivate oggi potrebbero essere sfruttate da chi fa phishing per impersonare Google e intercettare così username e password di utenti convinti di mettersi al riparo dal bug “CloudBleed” di Cloudflare.

Su alcuni forum sono arrivate smentite e il supporto di Google non conferma l’ipotesi ma rassicura sul fatto che non ci sono rischi per gli utenti: rimaniamo quindi nel dubbio concludendo che, tecnicamente, questo logout forzato e richiesta di fare login inserendo nuovamente la password potrebbe esser un modo per reinizializzare eventuali sessioni compromesse e mettere al sicuro gli account e i dati dei propri utenti. O, quantomeno, la coincidenza sarebbe davvero notevole.

Cybersecurity for Business Perspective by Fluel

Secure, Conferenza su CyberSecurity a Milano by FluelSi è concluso l’evento sulla CyberSecurity organizzato a Milano da “Fluel, Innovation for Business” con un programma che copre diversi aspetti della sicurezza informatica:

  • Cyber Crisis Management, la gestione della crisi – Andrea Zapparoli Manzoni, KPMG Advisory
  • Data breach, attacchi informatici e responsabilità legali – Giulio Coraggio, DLA Piper
  • Cybersecurity “hands on”, progettare la sicurezza – Marco Ramilli, Yoroi
  • Security Everywhere: la nuova sfida verso la Cyber Security – Stefano Volpi, CISCO
  • Impatti legali e normative sulla cybersecurity nel banking – Andrea De Matteis, De Matteis Law
  • Blockchain, Ransomware e Cybersecurity – Vincenzo Aguì, Helperbit e Paolo Dal Checco, Digital Forensics Bureau
  • Effective technology for Cybersecurity audit – Andrea Piazza, Microsoft
  • Predictive Cybersecurity attraverso i Big Data – Andrea D’Orio, Exage
  • Nuove professioni per la Cybersecurity – Aldo Razzino, Open Search Network

Durante la giornata, nove talk di 45 minuti di relatori di alto livello si sono susseguiti per fornire un panorama a 360° sui rischi, le prospettive, lo stato dell’arte e il futuro della cosiddetta “cybersecurity”, incluse le professioni che vi gravitano intorno.

Desidero ringraziare personalmente l’organizzatore Salvatore Palange, i partecipanti che hanno seguito dal primo all’ultimo intervento formulando domande sempre in topic e i relatori che hanno tenuto alta l’attenzione con argomenti di attualità e mai scontati, divulgativi ma nel contempo tecnici al punto giusto.

L’intervento su “Blockchain, Ransomware e Cybersecurity” che ho tenuto insieme all’amico Vincenzo Aguì – che ringrazio per l’opportunità di poter tenere finalmente un talk insieme – ha percorso, con un modello domanda/risposta dal titolo “FAQ the Ransomware” le domande che tipicamente vengono poste agli esperti del settore su ransomware e bitcoin. Durante il seminario si è parlato di cosa sono e come funzionano i ransomware, di come prevenire l’infezione e come correre ai ripari, di come tramite bitcoin forensics e bitcoin intelligence è possibile tentare di deanonimizzare indirizzi e transazioni.

In particolare con l’intervento su “Blockchain, Ransomware e Cybersecurity” abbiamo provato a dare una risposta ai seguenti interrogativi:

    • Cosa è un ransomware?
    • Come mai se ne parla da poco?
    • Chi c’è dietro i ransomware?
    • Come si viene infettati dai ransomware?
    • I criptovirus infettano soltanto i PC?
    • Si possono decifrare i dati criptati senza pagare?
    • Ma se pago, decifrano davvero i miei documenti?
    • Come faccio a pagare in bitcoin?
    • Il cryptovirus si limita a cifrare?
    • Come posso difendermi?
    • Io ho il Mac, sono al sicuro?
    • Ma pagare… è legale?
    • Si possono scovare i delinquenti?
  • Devo/è utile fare denuncia?

DEFT Zero v 2017.1 stable è disponibile per il download

DEFT Zero - DownloadIndispensabile per acquisizioni forensi di hard disk, pendrive, schede di memoria e supporti ottici, una delle suite di computer forensics più utilizzate dagli operatori del settore, DEFT Zero è stata aggiornata alla versione 2017.1 stable, dopo un periodo di test che ha permesso al DEFT Team e agli utilizzatori di consolidarne la sicurezza e l’affidabilità.

DEFT Zero è una versione light della distribuzione forense DEFT dedicata espressamente all’acquisizione di immagini forensi delle memorie di massa, utilizzata in ambito di perizia informatica da consulenti informatici forensi di tutto il mondo, con il numero indispensabile di tool di acquisizione e preview nello spazio ridotto di 500MB, tale da poter essere riversato su un CDROM o su una pendrive USB e poter essere caricato direttamente in RAM.

La distro live DEFT Zero in versione Stable 2017.1 si può scaricare liberamente in formato ISO da questo link e utilizzre liberamente, essendo composta da tutto software open source dedicato alla digital forensics.

DEFT Zero - Scaricare ISO in Download diretto

Tra le maggiori novità della versione 2017.1 di DEFT Zero troviamo:

  • supporto alle memorie SSD NVMExpress presenti nei Macbook Apple edizione 2015 e successive;
  • supporto per le memorie SSD eMMC presenti in notebook come i nuovi DELL XPS 13 o XPS 15;
  • supporto UEFI per poter avviare il sistema Linux su BIOS con UEFI;
  • aggiornamento librerie e tool di acquisizione forense.

Dato che ormai difficilmente si utilizzano supporti ottici come CDROM o DVDROM per distribuzioni live da utilizzare nell’ambito delle perizie informatiche forensi, si consiglia riversare DEFT Zero su di una pendrive USB, con dimensione almeno 512MB.

Riversare DEFT Zero su pendrive USB o CDROM

Per la creazione di una chiavetta USB per fare boot con DEFT 0 Linux è possibile utilizzare i seguenti strumenti:

Sul sito DEFT è possibile scaricare in download il manuale d’uso in PDF di DEFT Zero stable in italiano e in inglese.

Al link seguente potete trovare l’elenco dei pacchetti installati su DEFT Zero 2017.1 Stable.

Continua la collaborazione con la Scuola Superiore di Magistratura

Continua la collaborazione con la Scuola Superiore di Magistratura per le attività di docenza presso i corsi organizzati a Scandicci e a Roma presso la Struttura Territoriale di Formazione Decentrata.

Nella giornata di domani si terrà infatti un corso presso la Corte d’Appello di Roma dal titolo “Intercettazioni: cosa c’è di nuovo? Voci a confronto sulle buone prassi e le criticità nelle fasi dell’indagine e del giudizio” durante il quale sono stato gentilmente invitato a tenere un intervento congiunto con una parte tecnica su “Intercettazioni, perquisizioni informatiche e acquisizione di dati da remoto su computer, cellulari e cloud: stato dell’arte, limiti tecnici e potenzialità investigative” e una parte giuridica a cura del Dr. Nello Rossi, Avvocato Generale presso la Corte di Cassazione su “Indagini e tecnologie informatiche: potenzialità, rischi, limiti istituzionali“.

L’intervento verterà sui limiti tecnici e sulle potenzialità delle nuove tecnologie di intercettazione e di acquisizioni dati da remoto, tramite i cosiddetti “Captatori“, che proprio in questi giorni sono sotto i riflettori per una proposta di legge finalizzata a regolamentarne l’utilizzo.

I “trojan di stato” sono ormai da anni utilizzati per acquisire le informazioni che le intercettazioni tradizionali non arrivano a coprire, in parte a causa della crittografia (vedasi Skype, Telegram, Whatsapp, le connessioni SSL, etc…) in parte a causa della moltitudine di possibilità di connessione che impedisce il monitoraggio proficuo di un solo canale (GSM, le varie WiFi di casa, ufficio, ADSL, etc…). In base al target cambiano le modalità d’infezione, le capacità di captazione, le difficoltà, la persistenza. La rincorsa agli aggiornamenti degli iPhone della Apple, di Android, di Windows Phone rende complessa la fase d’infezione e persistenza dei software che sono sempre più complicati e costosi da insallare.

Nelle edizioni passate dei corsi destinati ai Pubblici Ministeri tenutisi a Milano e Scandicci ho apprezzato l’interesse, lo stimolo intellettuale e la preparazione dei partecipanti che sono sempre intervenuti su argomenti nei quali la componente tecnologica e innovativa è sempre più rilevante e la giurisprudenza vede il bisogno di un continuo aggiornamento e adattamento.

Bitcoin Forensics alla Bitcoin Conference di Hannover

Bitcoin Conference ad HannoverGiovedì 19 gennaio terrò un talk, insieme all’amico Mattia Epifani di Reality Net, durante la Bitcoin Conference che si terrà presso l’Università di Hannover, L3S Research Center in Appelstraße 9a (High Rise Building). L’argomento dell’intervento sarà quello della Bitcoin Intelligence e Bitcoin Forensics e coprirà diversi aspetti delle indagini e perizie informatiche sulle criptovalute.

Si partirà dalle indagini sulla blockchain per giungere alla blockchain intelligence tramite clustering dei wallet. Il raggruppamento degli indirizzi bitcoin in wallet è infatti uno dei principali strumenti per la deanonimizzazione degli indirizzi bitcoin e il tracciamento delle transazioni. Verranno presentati i vari metodi utilizzati dai software e dai servizi di clustering e de-anonymization come i commerciali Neutrino, Elliptic, Chainalyis, Blockseer, Scorechain, Skry, Blockchaingroup, Sabr ma anche i gratuiti Bit Cluster e Wallet Explorer per raggruppare indirizzi appartenenti allo stesso wallet in un cluster analizzabile e tracciabile.

Allo stesso modo, esiste la possibilità di tracciare indirizzi IP dei client e dei wallet che hanno immesso transazioni firmate sulla rete Bitcoin o di client SPV che – tramite utilizzo del filtro di bloom – interrogano i server della rete per conoscere lo stato degli indirizzi bitcoin posseduti nel wallet. In entrambi i casi, l’attività di network monitoring e forensics può portare a ottimi risultati nel tracciamento e deanonimizzazione di wallet, indirizzi, transazioni.

Bitcoin Forensics ad Hannover

La presentazione verterà quindi sulle attività di analisi forense e perizia informatica eseguibili sui wallet bitcoin come il Wallet.dat del client Bitcoin QT e i file accessori come Debug.log, Tramite strumentazione apposita è possibile recuperare gli artefatti lasciati dai wallet e identificare indirizzi, transazioni, wallet anche dalle aree non allocate del disco.

Su wallet per dispositivi cellulari e smartphone è poi possibile eseguire attività di mobile forensics ed acquisire i database come breadwallet.sqlite su BreadWallet per iOS o wallettracking.db su Mycelium per Android o  per esaminarne il contenuto e ricavare informazioni preziose come indirizzi o transazioni eseguite tramite il wallet.

Qui di seguito riportiamo il programma della Bitcoin Conference ad Hannover:

  • 08.30 Arrival and Registration
  • 09.00 Welcome & Introduction – Susanne Beck (Leibniz Universität Hannover, DE) Nikolaus Forgó (Leibniz Universität Hannover, DE)
  • 09.15 Innovation & Trust – Patrick Curry (British Business Federation Authority, UK)
  • 10.00 Virtual Currencies, Privacy and the European Anti Money Laundering Framework – Carolin Kaiser (Rijksuniversiteit Groningen, NL)
  • 10.45 Coffee break
  • 11.15 Crypto Currencies – Prevention of Illegal Use and Deregulation – Thomas Gloe (Dence GmbH, DE)
  • 12.00 Collaborative Discussion – Panel: Patrick Curry (British Business Federation Authority, UK) Carolin Kaiser (Rijksuniversiteit Groningen, NL), Thomas Gloe (Dence GmbH, DE)
  • 12.30 Lunch break
  • 13.30 Bitcoin Intelligence and Forensics – Mattia Epifani (Reality Net – System Solutions, IT) Paolo Dal Checco (Digital Forensics Bureau, IT)
  • 14.15 Bitcoin and Law Enforcement Investigation Matthew Simon (INTERPOL)
  • 15.00 Coffee break
  • 15.30 Deregulation of State Authority and Enforcement Mechanisms Christoph Burchard (Goethe-Universität Frankfurt am Main, DE)
  • 16.15 Bitcoin Opportunities and Challenges for Criminal Investigations Markus Hartmann (Public Prosecutor’s Of ce Cologne, DE)
  • 17.00 Collaborative Discussion – Moderator: Florian Jeßberger (University of Hamburg, DE), Panel: Christoph Burchard (Goethe-Universität Frankfurt am Main, DE) Mattia Epifani (Reality Net – System Solutions, IT), Paolo Dal Checco (Digital Forensics Bureau, IT), Markus Hartmann (Public Prosecutor’s Of ce Cologne, DE) Matthew Simon (INTERPOL)
  • 17.45 Wrap-Up – Open Discussion 2.0